KRITIS: BSI veröffentlicht Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung

14. Oktober 2022

Betreiber Kritischer Infrastrukturen sind in Deutschland dazu verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen. Das BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) benennt nach Umsetzung des 2. IT-Sicherheitsgesetzes im neuen § 8a Absatz 1a nun auch ausdrücklich den Einsatz von Systemen zur Angriffserkennung (SzA).

Orientierungshilfe des BSI

Am 26. September veröffentlichte das BSI (Bundesamt für Sicherheit in der Informationstechnik) für Betreiber Kritischer Infrastrukturen sowie prüfende Stellen eine Orientierungshilfe mit Definitionen und Anforderungen. Die Orientierungshilfe beschreibt die Vorstellung des BSI, welche Anforderungen Betreiber Kritischer Infrastrukturen für SzA erfüllen sollen und liefert Anhaltspunkte für ihre individuelle Umsetzung und Prüfung. Zusätzlich soll eine einheitliche Nachweiserbringung ermöglicht werden, indem eine systematische Bewertung der getroffenen Maßnahmen unter Verwendung eines Umsetzungsgradmodells eingeführt wird. Die Formulierungen in der Orientierungshilfe und dem Umsetzungsgradmodell sind an den IT-Grundschutz angelehnt.

Systeme zur Angriffserkennung – Definition des BSIG

Das BSIG definiert Systeme zur Angriffserkennung in § 2 Absatz 9b Satz 1 als Prozesse, „die durch technische Werkzeuge und organisatorische Einbindung unterstützt werden“. In § 8a Absatz 1a BSIG werden SzA in Bezug auf ihre Funktionalität weiter konkretisiert. Sie „müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten“ können. Die Auswertung wird in § 2 Absatz 9b BSIG als „Abgleich der in einem informationstechnischen System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten“ spezifiziert. Zusätzlich sollten die Systeme „dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen“ (§ 8a Absatz 1a Satz 3 BSIG).

Systeme zur Angriffserkennung – Anforderungen

Die Anforderungen des BSIG an SzA lassen sich in die drei Kernbereiche Protokollierung, Detektion und Reaktion einteilen. Die geforderten Maßnahmen sollen zu einer (frühzeitigen) Erkennung von Cyber-Angriffen beitragen und insbesondere die Schadensreduktion und Schadensvermeidung unterstützen:

Protokollierung

  • Erstellung einer Sicherheitsrichtlinie für die Protokollierung
  • Konfiguration der Protokollierung auf System- und Netzebene
  • Zeitsynchronisation der IT-Systeme
  • Einhaltung rechtlicher Rahmenbedingungen
  • Aufbau zentralisierter Protokollierungsinfrastrukturen
  • Bereitstellung von Protokoll- und Protokollierungsdaten für die Auswertung

Detektion

  • Erstellung einer Sicherheitsrichtlinie für die Detektion von sicherheitsrelevanten Ereignissen
  • Einhaltung rechtlicher Bedingungen bei der Auswertung von Protokollierungsdaten
  • Festlegung von Meldewegen für sicherheitsrelevante Ereignisse
  • Sensibilisierung der Mitarbeiter [Vorgesetzte, Benutzer, Mitarbeiter]
  • Einsatz von mitgelieferten Systemfunktionen zur Detektion [Fachverantwortliche]
  • Kontinuierliche Überwachung und Auswertung von Protokoll- und Protokollierungsdaten
  • Einsatz zusätzlicher Detektionssysteme
  • Infrastruktur zur Auswertung von Protokoll- und Protokollierungsdaten und Prüfung sicherheitsrelevanter Ereignisse
  • Auswertung von Informationen aus externen Quellen
  • Auswertung der Protokoll- und Protokollierungsdaten durch spezialisiertes Personal
  • Zentrale Detektion und Echtzeitüberprüfungen von Ereignismeldungen

Reaktion

  • Definition eines Sicherheitsvorfalls
  • Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen
  • Festlegung von Verantwortlichkeiten und Ansprechpartnern bei Sicherheitsvorfällen
  • Benachrichtigung betroffener Stellen bei Sicherheitsvorfällen [Institutionsleitung, IT-Betrieb, Datenschutzbeauftragter, Notfallbeauftragter]
  • Behebung von Sicherheitsvorfällen [IT-Betrieb]
  • Wiederherstellung der Betriebsumgebung nach Sicherheitsvorfällen [IT-Betrieb]
  • Prüfung ob es sich um ein Meldepflichtiges Ereignis (Richtung BSI) handelt
  • Automatische Reaktion auf sicherheitsrelevante Ereignisse


Sind Sie Betreiber Kritischer Infrastrukturen und benötigen Unterstützung? Kontaktieren Sie uns, wir helfen Ihnen gern.

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien